LINUX.ORG.RU
ФорумGeneral

Завернуть трафик в работающий IPsec тоннель с удаленных хостов.

 , ,


0

3

Добрый день!

Есть у меня одна виртуальная машина, на которой поднят IPsec тоннель до удаленной площадки средствами StrongSwan, с этой машины отлично видно удаленные хосты в другой сети, все работает! Сейчас Появилась необходимость сделать доступ в этот тоннель еще с нескольких систем. Т.е для других систем машина с поднятым IPsec тоннелем должна быть шлюзом..
В итоге, пока не могу точно понять, каким образом мне пропускать пакеты с удаленных виртуальных машин через ту, на которой поднять тоннель и обратно.

Схема: 

VM-Ipsec (тут поднят тоннель): 
Eth0:172.44.2.1/24 (LAN)
Eth1:34.32.31.2/24 (WAN)
Удаленный хост IPsec: 10.10.1.2

VM-client_1
Eth0: 172.44.2.2/24

VM-client_2
Eth0: 172.44.2.3/24
В виртуальных машинах VM-client_1 и VM-client_2 маршрут о 10.10.1.2 построен через 172.44.2.1

Использовать NAT-T на уровне Iptables ?
Или ?



Последнее исправление: Doronin (всего исправлений: 4)
Audacity как записать звук с компьютера?
Анимированный GIF в качестве обоев рабочего стола в XFCE

Если VM-IPSEC будет шлюзом для остальных VM, то они и так придут на удаленные хосты. Если нет, то прописать на остальных VM маршруты до удаленных хостов через VM-IPSEC, что-то типа route add -net xxx.xxx.xxx.xxx gw ip.addr.vm-ipsec. Аналогично и с удаленными хостами, либо default gw либо route. Только в правилах iptables если остальные хосты ходят в инет через VM-IPSEC, поставить исключение для удаленной сети, ибо ipsec создает свой канал и правила маршрутизации.

slavun
()

настройка не отличается от обычного роутера в целом.

  • проверь что ip_forward включен
  • проверь видят ли клиенты роутер и ходят ли пакеты между ними
  • проверь правила iptables что они не запрещают пакетам проходить
  • подумай какая тебе нужна система маршрутизации (держать маршрут на клиенте или выставить роутер дефолтом или что-то еще) и настрой ее. помни что в базовом случае путь пакета в обе стороны должен быть одинаковым (это на случай если есть еще один роутер, и ты будешь в один конец идти через него, а в другой - в обход)
  • вспомни нужен ли тебе нат или удаленная подсеть знает о твоей подсети (если вариант site-to-site).

просто вопрос «как пропускать пакеты» слишком общий. общий ответ будет «как обычно», нужна более конкретная проблема, хотя бы просто на каком из перечисленных выше шагов она возникает.

кстати, просмотри внизу похожие темы. будет интересовать скорее всего что-то типа «раздать интернет», поскольку ситуация аналогична

upcFrost ★★★★★
()
Последнее исправление: upcFrost (всего исправлений: 2)
Ответ на: комментарий от upcFrost

Спасибо очень полезно!

Сейчас начал трабшутить, обнаружил, что пакеты с удаленной машины, которая имеет шлюз по умолчанию через машинку с IPSEC бегают, но бегают в одну сторону.. Судя по TCPDUMP пакеты точно на интерфесе шлюза видны, от не вижу ответных пакетов от удаленного источника..

Doronin
() автор топика
Ответ на: комментарий от Doronin

не вижу ответных пакетов от удаленного источника

NAT есть? а то может они так и имеют src-ip твоей подсети, о которой удаленная ни сном ни духом. ну и еще - на каком из интерфейсов? на входе или на выходе? должно быть на обеих, и при чем в случае ната - ну, ты понял, должны src-ip и порт меняться

upcFrost ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Audacity как записать звук с компьютера?
General
Анимированный GIF в качестве обоев рабочего стола в XFCE